基于VMware虛擬化的安全分析＊

（中國船舶重工集團公司第七一二研究所 武漢 430064）

1 引言

隨著人們對虛擬化認識的逐步深入，虛擬化應用越來越廣泛，作為虛擬化領域先行者和領導者的VMware，其虛擬化解決方案已經在許多企業生根落地，取得了良好的應用效果。隨著虛擬化從企業的邊緣應用進入核心應用，用戶在享受虛擬化益處的同時，必須認識到虛擬化技術帶來的安全風險，針對性地采取技術防范措施，才能既利用虛擬化好處又保證信息系統安全。

虛擬化的安全風險表現在多個方面，物理硬件、虛擬化層、網絡架構、虛擬機備份、身份鑒別與訪問控制、虛擬機系統服務、補丁管理和病毒與惡意代碼等方面都不同程度存在著安全風險。物理硬件的安全風險在于如果選擇不支持虛擬機的物理硬件則不能較好發揮虛擬機的優勢。虛擬化層直接與物理硬件和客戶端操作系統通訊，擁有大量對主機操作系統和硬件的高級訪問權限，虛擬機感知式惡意軟件（如RedPill）以及rootkits軟件（如BluePill）［1］，就是利用虛擬化層來攻擊整個虛擬機環境。虛擬化環境中存在著四種網絡：管理網絡、存儲網絡、虛擬機網絡以及Vmotion虛擬機遷移網絡，如果虛擬化管理員不隔離這些網絡，就有可能出現一些大的安全漏洞［11］。虛擬服務器在大多數方面都等同于物理服務器，因此在系統備份、身份鑒別與訪問控制、虛擬機系統服務、補丁管理和病毒與惡意代碼等方面都與物理服務器的安全風險類似［5］，但由于虛擬化的主要目標之一就是大幅度提高主機的資源利用率，閑置的資源很少，注定了虛擬化環境的安全防護措施既要使用傳統的安全技術手段，又要結合虛擬機的特殊性，采取新的技術措施。

虛擬化層（hypervisor層）是虛擬化軟件系統的核心層，理應由虛擬化廠商來能保證其安全性。目前VMware已經提供了與VMware hypervisor整合的VMsafe開放技術平臺，為Trend、Symantec、McAfee這樣的獨立安全企業提供了比惡意程序更高的執行權限［2］。利用VMware虛擬化軟件所具備的內視能力（introspection）防止惡意程序與其他網頁威脅入侵企業網絡，并能夠對關機狀態下的VMware虛擬機進行掃描，待問題清除之后才啟動機器。

本文主要從物理硬件、網絡架構、虛擬機備份、身份鑒別與訪問控制、虛擬機系統服務、補丁管理和病毒與惡意代碼等幾個方面提出保障虛擬化安全的技術措施。

2 保障虛擬化安全的措施

虛擬機的安全問題是比較復雜的問題，在安全部署方面，不僅僅要考慮到虛擬機本身系統的安全，還要考慮其宿主機及網絡環境的安全，因此傳統的安全工具和方法通常需要升級，才能夠更好地應用于虛擬化環境。同時，在選擇新的工具和方法時，需要考慮與虛擬化技術的兼容性，不僅僅是單個產品與虛擬機之間的可操控性，更要求整個虛擬環境的可操控性。下面來分析保障虛擬化環境安全的具體措施。

2.1 選擇合適的主機硬件

由于不支持虛擬化的主機可能帶來潛在的安全風險，而且各虛擬化廠商都有其虛擬機兼容硬件列表，因此應投資購買支持虛擬機的硬件。

虛擬機的資源需求計算是很復雜的，通常采用以下計算公式來進行估算：

硬件資源需求＝H＋G1＋G2＋G3＋…＋GN＋O

在這個公式里，H＝虛擬機軟件所需資源，G＝虛擬機操作系統所需資源＋應用程序所需資源，O＝額外開銷［3］。

2.2 細化網絡設置、進行分區隔離

在虛擬環境中，系統的隔離和分區是十分重要的，因為盡管一個虛擬機的虛擬硬件與其他虛擬機的虛擬硬件是相互隔離的，但虛擬機的底層網絡通常是共享的，接入這樣一個共享網絡的任何虛擬機或虛擬機組都可以通過這些網絡鏈路進行通信，因此，它們有可能成為網絡中的攻擊目標。

隔離虛擬網絡既可以按照位置分開虛擬機，即把公共的虛擬機與專用的虛擬機分開，也可以按照服務類型分開虛擬機，如把系統管理類虛擬服務器、應用程序類虛擬服務器和數據庫虛擬服務器分開［4］。將各組虛擬機隔離在它們各自的網絡分段中，即不同的VLAN 中，借以最大限度地降低數據通過網絡從一個虛擬機分區泄漏到另一個虛擬機分區的風險［8］。實際上，對網絡進行分段可以降低多種類型的網絡攻擊風險，其中包括地址解析協議ARP欺騙。將網絡分段還有另一個好處，即簡化了進行合法性審計的過程，這是因為通過網絡分段，用戶能夠清楚地了解網絡中連接了哪些類型的虛擬機，從而進行分類管理。

2.3 選擇適用的虛擬機備份方案

虛擬機備份的主要問題在于虛擬機的閑置資源比較少，而備份應用會消耗大量服務器的輸入／輸出、CPU 和內存資源，如果多個備份計劃重疊執行，就會因占用過多系統資源而嚴重影響應用系統的運行效率［6］，因此傳統的備份方案不能照搬到虛擬化環境，那么應該怎樣選擇合適的虛擬機備份方案呢？高效適用的虛擬機備份產品和方案應具備以下特點：

1）能夠為附屬于客戶端虛擬機的虛擬硬盤創建快速、空間高效的高性能快照；

2）利用可感知應用程序的備份方案，對這些快照的創建和管理進行整合；

3）能夠訪問服務器上的快照而不是運行活動虛擬機的快照，這對于將備份負載及其附帶的資源消耗從活動的應用程序中分開是至關重要的；

4）擁有長期在線可用的快照，大多數快照具有空間高效功能，這意味著基鏡像（base image）及其子快照中的數據塊僅保持一次。這樣就可以廉價地長期保存許多快照，使得從快照中快速恢復數據變得簡單可行；

5）具備增量備份功能。虛擬機鏡像文件一般很大，通常數十個GB，如果備份軟件能感知上次備份之后鏡像的哪些部分發生了變化而進行增量備份，那么它的效率就可以變得更高。

2.4 利用雙重身份認證提高安全性

虛擬化環境中用戶身份認證是十分重要的安全環節，現在很多企業建立了域管理模式，通過域控制器集中管理用戶賬號和計算機資源，用戶訪問企業資源首先需要經過AD 身份認證，但僅使用用戶名＋密碼的方式進行身份認證，即使設置了強密碼，依然存在攻擊者暴力破解的風險，如果使用域認證＋Ukey認證的雙重身份認證方式，則可以大為降低身份認證方面的安全風險。圖1介紹了在VM-ware虛擬化環境中使用域認證＋Ukey雙重身份認證的認證流程。

圖1 域認證＋Ukey雙重身份認證流程圖

域認證＋Ukey雙重身份認證流程說明：

用戶在瘦客戶端或PC 機上運行View Client，連接到虛擬化會話管理中心；

會話管理中心將用戶名和密碼發送到AD 身份認證服務器，進行域身份驗證；

域身份驗證通過后，從虛擬桌面服務器返回用戶自己的虛擬桌面，顯示Ukey登錄驗證界面；

用戶通過自己的虛擬桌面輸入Ukey的PIN 碼；

Ukey認證服務器驗證PIN 碼；

Ukey認證服務器與AD 交互域用戶信息；

Ukey認證通過后，登錄用戶自己的虛擬桌面；

完成域認證＋Ukey雙重身份認證的用戶即可使用單點登錄方式訪問應用系統。

2.5 分權進行訪問控制

VMware虛擬化環境集中管理控制臺VCenter的本地管理員（超級管理員）擁有最大的管理員權限，即擁有虛擬化環境下的所有特權操作權限，如果該用戶濫用特權，則可能對整個虛擬化環境造成無法估量的損失。為了化解該風險，應該采取分權制約的方式［7］。具體分權方案如下：

1）定義系統管理員、安全管理員、安全審計員三個角色（簡稱系統三員），系統三員彼此之間不得兼任；

2）在網絡主干防火墻上設置僅系統三員負責使用的IP地址能夠遠程訪問虛擬機管理中心VCenter，而且盡可能使用通信加密手段，如使用HTTPS、TLS或SSH 來遠程管理VCenter［3］。VCenter的本地管理員密碼由系統管理員和安全管理員分段掌握（每段都應該設置強密碼），只有當這兩位管理員同時在場并分別輸入正確的密碼時，才能執行本地管理員的特權操作；

3）在VCenter和虛擬桌面管理器View Manager中創建三個角色：系統管理員、安全管理員、安全審計員，并分別進行權限設置：

系統管理員可以進行日常虛擬機創建和數據中心維護工作，但不能刪除虛擬機和審計VCenter系統日志；

安全管理員負責桌面資源池的日常創建和桌面資源池的授權以及廢止虛擬機的刪除，不能審計VCenter系統日志；

安全審計員擁有VCenter數據中心的系統日志審計權限，主要審計系統管理員和安全管理員的操作情況。

這樣系統三員權限彼此制約，各自獨立完成日常工作，僅當需要進行特權操作時，才由系統管理員和安全管理員同時在場操作，實現系統三員共同管理虛擬化環境的目標。

2.6 合理配置、加固系統、降低風險

通過合理配置，終止和禁用不必要的服務，可保持虛擬機操作系統的精簡，減少被攻擊的機會［3］。具體措施如下：

1）禁用部分功能。對單一操作系統的虛擬機來說，關閉屏幕保護、磁盤碎片整理、搜索工具（比如搜索磁盤內的文件）、文件完整性檢查、日志和日志分析工具、系統更新、空閑檢測等功能，都不會影響虛擬機運行；

2）慎用文件共享功能。除非有業務需要，明確要求文件共享，否則應禁用文件共享功能；

3）設置時間同步。一般可以將物理域控服務器配置為時間服務器，宿主服務器和其他虛擬服務器的NTP源都指向該服務器；

4）斷開不使用的設備。虛擬技術允許虛擬機直接或間接控制物理設備，如軟驅、光驅、USB接口、打印機等。在虛擬機啟動的時候，它們會檢測這些硬件設備，如果多個虛擬機同時啟動，則第一個啟動的虛擬機優先使用，其他虛擬機的檢測會被鎖定，這會造成不必要的啟動延遲。另外，如果光驅驅動器里的光盤含有惡意代碼，虛擬機可能會自動加載并執行，類似于自動運行的功能，從而感染病毒或木馬。安全的做法是關閉所有可控制的物理設備，只在需要的時候才允許連接。

2.7 妥善解決補丁更新問題

虛擬機的快速增長給補丁更新帶來了沉重負擔。要保證虛擬機始終安裝最新的補丁，對于擁有數百個虛擬機鏡像庫的企業來說，將是一項十分繁重的任務。企業IT 部門應該制定虛擬機補丁更新的規范流程，這個流程除了要求解決正在運行的虛擬機的補丁狀態問題外，還應要求虛擬機管理員經常檢查關閉的虛擬機的補丁狀態［9］，同時定期更新虛擬機模板，保證用來創建新虛擬機的鏡像模板內安裝的軟件版本是最新的。

2.8 尋找解決病毒與惡意代碼問題的新方案

由于虛擬化環境的特殊性，采用傳統的病毒和惡意代碼解決方案解決虛擬機的防病毒問題，存在如下問題［10］：

1）在每個虛擬機上都部署防病毒軟件，會占用很多的ESX Server的資源，如：CPU、內存、I／O 等，造成虛擬化密度低，影響投資效益；

2）如果全部防病毒軟件同時進行系統掃描，會形成“病毒風暴”，把ESX Server的資源全部吃滿，甚至造成宕機；

3）虛擬機存在使用和關閉兩種情況，對于關閉的虛擬系統是不能夠進行病毒庫升級的，但是這個虛擬機和虛擬化平臺底層是可以通信的，所以很容易被利用造成破壞。

因此我們需要選擇專為虛擬環境所打造的防病毒解決方案，此方案的特點是只在每臺宿主物理服務器上安裝一次，即可達到如下防護效果：

1）提升硬件服務器的使用率。即相同硬件能提高虛擬機密度；

2）簡化管理。能通過一次性的安裝部署，實現以主機為單位的保護管理；

3）能實現自動繼承的保護。也就是說虛擬鏡像可即裝即防，裸機也能立即保護。

對于已經在虛擬化環境采用了傳統的病毒和惡意代碼解決方案的用戶，則應該細化虛擬機的病毒防護策略，對虛擬機實行分時升級和病毒掃描策略，避免所有虛擬機同時升級和掃描形成“病毒風暴”而導致系統服務異常，同時虛擬機管理員還應定期開啟關閉的虛擬機進行病毒庫升級和掃描。

3 結語

本文在分析基于VMware虛擬化環境存在的安全風險的基礎上，提出了降低風險的技術保障措施，并成功應用于某VMware虛擬化的實施部署項目中。該虛擬化實施項目重點從物理硬件選擇、網絡架構規劃、身份鑒別與訪問控制方案設計、虛擬機系統服務配置等方面著手，多管齊下，綜合利用多種虛擬化安全防護技術，保證了VMware虛擬化建設項目順利實施，并安全穩定運行了兩三年。今后隨著各種核心業務系統逐步遷移到VMware虛擬化環境，還需要考慮的安全措施是部署整個虛擬化環境的快速災難恢復機制，并采用針對虛擬化環境的病毒與惡意代碼解決方案，實現批量虛擬機離線殺毒［13］，在進一步提高虛擬化安全性的前提下，充分整合數據中心資源，打造低碳環保、綠色節能高效的數據中心。

［1］Joanna Rutkowska，Security Challenges in Virtualized Environments［C］／／RSA Conference，2008（4）：48-54.

［2］http：／／security.ctocio.com.cn／securitycomment／321／8164321.shtml，虛擬機打開風險通道 安全問題不可回避.

［3］http：／／www.searchsecurity.com.cn／showcontent＿38595.htm，全面解析虛擬機安全.

［4］http：／／wenku.baidu.com／view／61df21c56137ee06eff918d6.html，虛擬化數據中心的網絡安全設計.

［5］林永菁.計算機光盤軟件與應用［J］.虛擬服務器的架設和安全性保障，2011（1）：99-100.

［6］http：／／storage.chinabyte.com／401／12137901.shtml，四大虛擬機備份因素解決數據恢復難題.

［7］http：／／tech.sina.com.cn／s／2008-08-27／0828783966.shtml，虛擬化六大安全問題 有待解決克不容緩.

［8］http：／／wenku.baidu.com／view／08583f01b52acfc789ebc9a4.html，知識學堂：如何應對虛擬化三種安全風險.

［9］http：／／wenku.baidu.com／view／87fcbd2c7375a417866f8fce.html，虛擬化安全問題.

［10］http：／／wenku.baidu.com／view／e46e81c59ec3d5bbfd0a746b.html，虛擬化安全可行性探討.

［11］http：／／wenku.baidu.com／view／0cc872d9ce2f0066f53322ce.html，虛擬化對數據庫安全性影響.

［12］孔藝權，王文娟.模擬器和虛擬機在網絡協議虛擬實驗的應用［J］.計算機與數字工程，2008，36（7）.

［13］文羽中，劉旭輝，祝沙沙，等.中國教育網絡［J］.vSphere提高虛擬機的安全性，2011（4）：43-45.